В password_hash manual указано
Используемый алгоритм, стоимость и соль возвращаются как часть хэша. Поэтому вся информация, необходимая для проверки хэша, включена в нее. Это позволяет функции password_verify () проверять хеш, не требуя отдельного хранилища для информации о соле или алгоритме.
Поэтому соль уже включена в хэш, который вы сохраняете в db.